Bilgi Teknolojilerinde olduğu gibi Operasyonel Teknolojilerde de ilgili politikaların oluşturulması gerekmektedir. Bugünkü yazımda bu politikaları oluştururken nelere dikkat etmeliyiz ve hangi politikaların oluşturulması gerektiğini sizlerle paylaşacağım. Bir güvenlik politikası, bir organizasyon içindeki kişi ve sistemler tarafından ne yapılıp yapılmayacağının resmi olarak maddeler halinde ifade edilmesi şeklinde tanımlayabiliriz. Politika içerisindeki maddeler, iş hedefleri ve risk değerlendirmelerinden oluşmaktadır. Politika Maddeleri, kullanıcıların takip etmeyi seçtiği öneri veya yönergeler değil kurallar bütünüdür. Kurallar, açık ve tutarlı bir uygulama gerektirmektedir. Kullanıcılar bir şirket içinde zorunlu olarak bu kurallara uymak zorundadır. Tutarlılık olmazsa, ihlalleri cezalandırmak zorlaşır.
İdeal durumda hazırlanan politikalar güvenlik politikaları satıcılar ve üreticilerden bağımsız olmalıdır. Bununla birlikte teknolojiler değiştikçe ve yeni satın alımlar gerçekleştikçe, politika etkili kalmalıdır. Satıcıya veya teknolojiye özgü ifadeler kullanıldığında, politika içine koyulan maddelerin sürekli değiştirilmesi gerekir. Politika yeni bir satın alma veya teknolojide bir ilerleme olduğunda her zaman değiştirilmelidir. Politika güncellenmezse, politika zaman aşımına uğramış ve eskimiş olur, bu kabul edilebilir bir durum değildir.
Güvenlik politika maddeleri, sistem Kurulumu yönergeleri veya belirli güvenlik ayarlarını içermemelidir. Bu unsurlar herhangi bir sürdürülebilir güvenlik programında önemlidir, ancak politika bu tür bilgiler için uygun bir yer değildir.
İyi yazılmış politika belgesi, okunması kolay ve kolay anlaşılabilir bir formatta olmalıdır. Her politika aşağıda belirttiğim kısımları içermelidir:
- Amaç: Amaç bölümü, bu politika bölümünün neden var olduğunu açıklar.
- Kapsam: Kapsam, politikanın neleri kapsadığını belirtir (örneğin, makineler, kişiler ve/veya tesisler).
- Politika: Bunlar kuruluşun insanlar, ekipman vb. Tarafından neler yapılabileceği ve yapılamayacağı konusundaki kurallarının gerçek ifadeleridir.
- Sorumluluklar: Bu politika ile ilgili olarak kimin yapması gerektiği burada belirtilmiştir.
- Referanslar/Yetkiler: Burada politika, organizasyon yapısı nedeniyle uyulması gereken diğer politikalara bağlıdır. Ayrıca, politikaya yapılan dış referanslardan bahsedilir (örneğin, yasal gereklilikler, mevzuatlar).
- Revizyon Geçmişi: Hangi değişikliklerin, kim tarafından ve ne zaman yapıldığının bir kaydının olmasıdır.
- Yürütme: Maddelere uymamanın sonuçlarının belirtildiği kısımdır. Bu genel olabilir ve tüm politikalar için geçerli olabilir (yani fesih dahil olmak üzere disiplin işlemlerine kadar kapsayıcı olabilir) veya spesifik olabilirler (belirli bir politikayı bilerek ve açıkça göz ardı etmek için derhal görevden alma vb.). İcra ayrıca yasal işlemin gerçekleştirilip gerçekleştirilemeyeceğini de tanımlayabilir.
- İstisnalar: İstisnalar gerekli olmayabilir, ancak varsa istisnaların her biri politikada dokümante edilmelidir. Bu, bir istisnanın nasıl alınacağını, kimin onaylayabileceğini ve belgelerin nasıl saklanacağını içerir. Ayrıca, istisnanın ne sıklıkta yeniden onaylanması gerektiğine ilişkin ayrıntılar açıklanmaktadır.
Yukarıda paylaştığım önemli noktaların, politika ve kapsam gibi yazılı güvenlik politikasının her kısmı için dahil edilmelidir. OT Siber güvenlik politikaları hazırlanırken aşağıda belirttiğim ana başlıklarla sınırlı kalmayacak şekilde politikalar oluşturulması endüstriyel tesisler için faydalı olacaktır.
- Veri Güvenliği (Veri depolama, yedekleme, imha, zararlı yazılım koruması vb.)
- İletişim Güvenliği (Kablolu, Kablosuz, Sınır Güvenliği, Uzak Erişimler, Dış Paydaşların Erişimi vb.)
- Son Kullanıcı Güvenliği (Hesap ve Şifre, Eğitim vb.)
- Platform Güvenliği (Sunucu, İstemci, RTU/PLC/DCS/IED vb.)
- Değişiklik Yönetimi (Bakım, Güvenlik, Güvenlik Planı ve Kılavuzu vb.)
- Denetleme (İç/Dış Denetleme, Akreditasyon, Olay Raporlama, Kayıt tutma vb.)
- Uygulamalar (SCADA Uygulamaları, Destek Uygulamaları vb.)
- Fiziksel Güvenlik (Varlıkların imhası, SCADA Varlık koruması vb.)
- Manuel Operasyon